Servicio de autenticación adaptable

Solucionar problemas de autenticación adaptable

September 13, 2023

Contribución de:

Los problemas se clasifican según las diferentes etapas de la configuración:

También puede solucionar los problemas mediante la CLI de Autenticación adaptable. Para conectarse a la CLI, haga lo siguiente:

Descargue el cliente SSH como putty/securecrt en su máquina.
Acceda a la instancia de Autenticación adaptable mediante la dirección IP (principal) de administración.
Inicie sesión con sus credenciales.

Para obtener más información, consulte Acceso a un dispositivo NetScaler.

Habilitar el registro de registros de autenticación adaptable

Asegúrese de habilitar los niveles de registro para capturar los registros de autenticación adaptable.

Habilite los registros mediante la CLI:

Inicie sesión en la CLI de la instancia de autenticación adaptable.
Con PuTTY, introduzca las credenciales de administración.
Ejecute el comando set audit syslogParams logLevel ALL

Habilitar los registros mediante la GUI:

Inicie sesión en la instancia de autenticación adaptable mediante un explorador web.
Vaya a Configuración > Sistema > Auditoría.
En la página Auditoría, en Configuración, haga clic en Cambiar la configuración de syslog de auditoría.
En Niveles de registro, seleccione TODOS.

Problemas de aprovisionamiento

No se puede acceder a la IU de autenticación adaptable

Compruebe si el derecho está habilitado para su ID de cliente/arrendatario.
Estancado en la página de aprovisionamiento durante más de 45 minutos

Recopile la captura de pantalla del error, si existe, y luego póngase en contacto con el Soporte de Citrix para obtener ayuda.
El par de VNet está inactivo
- Compruebe si hay alertas en Azure Portal correspondientes a este emparejamiento y tome las medidas recomendadas.
- Elimine el emparejamiento y vuelva a agregarlo desde la interfaz de usuario de Autenticación adaptable.
El desaprovisionamiento no está completo

Contacte con Citrix Support para obtener ayuda.

Problema de accesibilidad de

No se puede acceder a la dirección IP de administración para la instancia
- Compruebe si la dirección IP pública del cliente utilizada para el acceso se encuentra entre las direcciones IP de origen permitidas.
- Valide si hay algún proxy que cambie la dirección IP de origen del cliente.
No se puede iniciar sesión en la instancia

Asegúrese de que el acceso de administrador funcione correctamente con las credenciales que introdujo durante el aprovisionamiento.
Los usuarios finales no tienen derechos completos

Asegúrese de que, al agregar el usuario, haya vinculado la directiva de comandos adecuada para el acceso. Para obtener más información, consulte Directivas de usuario, grupos de usuarios y comandos.

Problema de conectividad AD o RADIUS

Problema con el tipo de conectividad de pares de Azure Vnet:

Compruebe si se puede acceder a la Azure VNet administrada por el cliente desde las instancias de autenticación adaptable.
Compruebe si funciona la conectividad/accesibilidad de Azure VNet administrada por el cliente a AD.
Asegúrese de que se agreguen las rutas adecuadas para dirigir el tráfico desde las instalaciones a las VNet de Azure.

Conector basado en Windows:

Todos los registros están disponibles en el directorio /var/log/ns.log y cada registro lleva el prefijo [NS_AAUTH_TUNNEL].
ConnectionID de los registros se puede usar para correlacionar diferentes transacciones.
Asegúrese de que la dirección IP privada de la máquina virtual del conector se agregue como uno de los clientes RADIUS en el servidor RADIUS, ya que esa dirección IP es la dirección IP de origen del conector.

Para cada solicitud de autenticación, se establece el túnel entre la instancia de autenticación adaptable (proceso NS - AAAD) y el servidor de autenticación. Una vez que el túnel se ha establecido correctamente, se produce la autenticación.

Asegúrese de que la máquina virtual del conector pueda resolver el FQDN de autenticación adaptable.

El conector está instalado, pero la conectividad local falla.

Valide si NSAUTH-TUNNEL se está estableciendo.

cat ns.log | grep -I “tunnel”

Si el siguiente registro de ejemplo no se imprime en el archivo ns.log para la solicitud de autenticación, es posible que haya un problema al establecer un túnel o algún problema desde el lado del conector.

 LDAP:
 [NS_AAUTH_TUNNEL] Entering bitpump for
 Connection1 => Src : 192.168.0.7:28098, Dst : 10.106.103.60:636 , Connection2 => Src : 10.106.103.70:2271, Dst : 10.106.103.80:443"
 RADIUS:
 [NS_AAUTH_UDP_TUNNEL] MUX channel established"
 <!--NeedCopy-->

Compruebe los detalles del registro y tome las medidas oportunas.

Detalles del registro	Acción correctiva
No se incluyen registros con prefijo `[NS_AAUTH_TUNNEL]` en el archivo de registros	Ejecute el comando `show cloudtunnel vserver`. Este comando debe incluir ambos servidores virtuales de túnel en la nube (TCP y UDP) con el estado “UP”.
`[NS_AAUTH_TUNNEL] Waiting for outbound from connector` Para este registro, si no se recibe la siguiente respuesta: `[NS-AAUTH-TUNNEL] Received connect command from connector and client connection lookupsucceeded"`	Compruebe si la máquina conectora puede acceder al FQDN de autenticación adaptable O compruebe si hay conexiones salientes al FQDN de autenticación adaptable en el firewall del lado del conector.
`[NS_AAUTH_TUNNEL] Server is down or couldn't create connection to ip 0.0.0.0` y`[NS_AAUTH_TUNNEL] Connect response code 401 is not 200 OK, bailing out"`	Contacto con Citrix Support.

No hay respuesta del conector:

Asegúrese de que se pueda acceder al FQDN de autenticación adaptable desde la máquina virtual del conector.
Asegúrese de tener un certificado intermedio enlazado y vinculado al certificado del servidor en la instancia de Autenticación adaptable.

Configuración LDAP/RADIUS incorrecta:

Si la dirección IP de su servidor AD/RADIUS es una dirección IP pública, debe agregar la subred o la dirección IP a las expresiones en NetScaler. No modifique los rangos existentes.

Para agregar una subred o una dirección IP mediante la CLI:

 set policy expression aauth_allow_rfc1918_subnets "(CLIENT.IP.DST.BETWEEN(10.0.0.0,10.255.255.255) || CLIENT.IP.DST.BETWEEN(172.16.0.0,172.31.255.255) || CLIENT.IP.DST.BETWEEN(192.168.0.0, 192.168.255.255) || CLIENT.IP.DST.BETWEEN(13.14.0.0, 13.14.255.255)||CLIENT.IP.DST.EQ(1.2.5.4))"
 <!--NeedCopy-->

Para agregar una subred o dirección IP mediante la GUI:
1. Vaya a Appexpert > Expresiones.
2. Agregue la expresión aauth_allow_rfc1918_subnets.

Si se establece el túnel pero la autenticación sigue fallando, siga estos pasos para solucionar el problema.

LDAP:

Valide los detalles de Bind DN.
Utilice la prueba de conectividad para confirmar el error.
Valide los errores mediante la depuración aaad.
Inicie sesión en la instancia de Autenticación adaptable mediante la CLI.
```
 shell
 cd /tmp
 cat aaad.debug
 
```

Errores LDAP comunes:

Tiempo de espera del servidor: no hay respuesta del conector para la consulta LDAP.
Otros errores de LDAP, consulte https://support.citrix.com/article/CTX138663.

Radio:

La dirección IP del conector debe agregarse como la dirección IP de origen del cliente RADIUS en la configuración del servidor RADIUS.

Problemas de autenticación

Errores de afirmación de publicaciones para OAuth
- Asegúrese de que AD proporcione todos los reclamos. Necesitas 7 reclamos para que esto tenga éxito.
- Valide los registros en /var/log/ns.log para localizar el error de los errores de OAuth.
```
 cat /var/log/ns.log
 
```
- Valide los parámetros del perfil de OAuth.
Autenticación de Azure AD bloqueada después de la afirmación

Agregue la autenticación de AD como el siguiente factor con la autenticación desactivada. Esto es para obtener todos los reclamos necesarios para una autenticación correcta.

Asuntos relacionados con la EPA

El complemento ya está presente, pero el usuario recibe una solicitud para descargarlo.

Posibles causas: No coinciden las versiones o archivos corruptos
- Ejecute las herramientas para desarrolladores y compruebe si el archivo de lista de complementos contiene la misma versión que la de NetScaler y la máquina cliente.
- Asegúrese de que la versión del cliente en el NetScaler sea la misma que en la máquina cliente.
  
  Actualice el cliente en NetScaler.
  
  En la instancia de Autenticación adaptable, vaya a Citrix Gateway > Configuración global > Actualizar bibliotecas cliente.
  
  La página de bibliotecas de complementos de la EPA en Descargas de Citrix le proporciona información detallada.
- En ocasiones, la solicitud se puede almacenar en caché en NetScaler incluso si se actualiza la versión.
  
  show cache object muestra los detalles del complemento en caché. Puede eliminarlo mediante el comando;
  
  flush cache object -locator 0x00000023345600000007
Para obtener detalles sobre la recopilación de registros de la EPA, consulte https://support.citrix.com/article/CTX209148.
¿Hay alguna manera de revertir la configuración de EPA (Siempre, Sí, No) después de que el usuario haya seleccionado una opción?

Actualmente, la reversión de la configuración de la EPA se realiza manualmente.
- En el equipo cliente, vaya a C:\Users<user_name>\AppData\Local\Citrix\AGEE.
- Abra el archivo config.js y establezca trustAlways en null - "trustAlways":null

Problemas con las etiquetas de acceso inteligente

Después de configurar el acceso inteligente, las aplicaciones no están disponibles

Asegúrese de que las etiquetas estén definidas tanto en la instancia de autenticación adaptable como en los grupos de entrega de Citrix VDA.

Compruebe que las etiquetas se agreguen en el grupo de entrega de Workspace en todas las mayúsculas.

Puede recopilar el archivo ns.log y ponerse en contacto con el Soporte de Citrix si esto no funciona.

Recopilación de registros general para la instancia de autenticación adaptable

Paquete de soporte técnico: para obtener más información, consulte Cómo recopilar el paquete de soporte técnico de los dispositivos SDX y VPX para el análisis de información.
Archivos de rastreo. Para obtener más información, consulte Cómo grabar un seguimiento de paquetes en NetScaler.

Póngase en contacto con el Soporte de Citrix para

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Solucionar problemas de autenticación adaptable

September 13, 2023

Contribución de:

September 13, 2023

Contribución de:

En este artículo

Habilitar el registro de registros de autenticación adaptable
Problemas de aprovisionamiento
Problema de accesibilidad de
Problema de conectividad AD o RADIUS
Problemas de autenticación
Asuntos relacionados con la EPA
Problemas con las etiquetas de acceso inteligente
Recopilación de registros general para la instancia de autenticación adaptable

¿Le ha resultado útil?